-
Junior Member
- Вес репутации
- 52
Опасно - отладчик процесса "ctfmon.exe" = "stacsv.exe"
Странное поведение компьютера в купе с повторным заражением системы.
В первый раз вылечил систему удалением stacsv.exe из папки систем32. Так система снова через несколько дней заразилась. Я уже сделал stacsv.exe пустой в этой папке и присвоил ему атрибута только для чтения и системный.
И еще интересует сабж: что он обозначает, и как выловить этот stacsv.exe в процессах?
Также интересует что обозначает вот это:
c:\windows\system32\svchost.exe:exe.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - возможно, маскировка исполняемого файла
И как его от туда вытащить.
ЗЫ Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetAVZPMStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
StopService('abp470n5');
QuarantineFile('C:\WINDOWS\system32\drivers\lmihhv.sys','');
DeleteService('abp470n5');
DeleteFile('C:\WINDOWS\system32\drivers\lmihhv.sys');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.1- 3 раздела Диагностика.(virusinfo_syscure.zip; virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 52
Сделал я вышеперечисленное, и система отказалась запускать какие-либо программы после перезагрузки :-( Выдавало - недостаточно квот или что-то в этом духе.
Пришлось переставить.
Ну да ладно. Меня всё-таки интересует вопрос, который я задавал выше:
1. Опасно - отладчик процесса "ctfmon.exe" = "stacsv.exe" - что это обозначает? и где посмотреть в системе без антивируса такие аномалии?
2. c:\windows\system32\svchost.exe:exe.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - можно ли удалить этот поток, если он в системном файле завёлся, и как он запускается и виден ли в процессах?
Спасибо заранее.
-
Сообщение от
AndreySh
1. Опасно - отладчик процесса "ctfmon.exe" = "stacsv.exe" - что это обозначает? и где посмотреть в системе без антивируса такие аномалии?
Регистрация отладчика системного процесса позволят осуществить скрытый запуск приложение, что и используется рядом вредоносных программ
Добавлено через 1 минуту
Сообщение от
AndreySh
2. c:\windows\system32\svchost.exe:exe.exe:$DATA >>> Опасно - исполняемый файл в потоке NTFS - можно ли удалить этот поток, если он в системном файле завёлся, и как он запускается и виден ли в процессах?
спросите у яндекса - "исполняемый файл в потоке NTFS" - очень много инфы
Последний раз редактировалось polword; 12.02.2010 в 09:46.
Причина: Добавлено
-